메뉴
AWS CloudTrail
사용 설명서 (Version 1.0)

추적 생성

모든 리전에 적용되는 추적을 생성하는 절차를 따르십시오. 모든 리전에 적용되는 추적은 모든 리전의 로그 파일을 S3 버킷으로 전송합니다. 추적을 생성하면 CloudTrail은 사용자가 지정한 이벤트에 대한 로깅을 자동으로 시작합니다.

콘솔에서 추적 생성

다음에 대해 추적을 구성할 수 있습니다.

  • 추적을 모든 리전에 적용할지 아니면 단일 리전에 적용할지 지정합니다.

  • 로그 파일을 수신할 Amazon S3 버킷을 지정합니다.

  • 관리 이벤트 및 데이터 이벤트에 대해 어떤 이벤트(읽기 전용 이벤트, 쓰기 전용 이벤트 또는 모든 이벤트)를 로깅할지 지정합니다.

To create a CloudTrail trail with the AWS Management Console

  1. Sign in to the AWS Management Console and open the CloudTrail console at https://console.aws.amazon.com/cloudtrail/.

  2. Choose the region where you want the trail to be created.

  3. Choose Get Started Now.

  4. On the Create Trail page, for Trail name, type a name for your trail. For more information, see CloudTrail 추적 이름 지정 요구 사항.

  5. For Apply trail to all regions, choose Yes to receive log files from all regions. This is the default and recommended setting. If you choose No, the trail logs files only from the region in which you create the trail.

  6. For Management events, for Read/Write events, choose if you want your trail to log All, Read-only, Write-only, or None, and then choose Save. By default, trails log All management events. For more information, see 관리 이벤트.

  7. For Data events, type the S3 bucket name and prefix (optional) for which you want to log object-level operations. For each resource, specify whether you want to log Read-only, Write-only, or All events. By default, trails don't log data events. For more information, see 데이터 이벤트.

  8. For Storage location, for Create a new S3 bucket, choose Yes to create a new bucket. When you create a new bucket, CloudTrail creates the required IAM policies for you and applies them to the bucket.

    참고

    If you chose No, choose an existing S3 bucket. The bucket policy must grant CloudTrail permission to write to it. For information about manually editing the bucket policy, see CloudTrail에 대한 Amazon S3 버킷 정책.

  9. For S3 bucket, type a name for the bucket you want to designate for log file storage. The name must be globally unique. For more information, see Amazon S3 버킷 이름 지정 요구 사항.

  10. To configure advanced settings, see 추적에 대한 고급 설정 구성. Otherwise, choose Create.

  11. The new trail appears on the Trails page. The Trails page shows the trails in your account from all regions. In about 15 minutes, CloudTrail publishes log files that show the AWS API calls made in your account. You can see the log files in the S3 bucket that you specified.

참고

추적을 생성한 후 이름을 바꿀 수 없습니다. 대신에 추적을 삭제한 후 새 추적을 생성할 수 있습니다.

추적에 대한 고급 설정 구성

추적에 대해 다음 설정을 구성할 수 있습니다.

  • 로그 파일을 수신하는 S3 버킷에 대해 로그 파일 접두사를 지정합니다.

  • AWS Key Management Service를 사용하여 로그 파일을 암호화합니다.

  • 로그에 대해 로그 파일 검증을 활성화합니다.

  • 로그 파일이 전송되면 알림을 보내도록 Amazon SNS를 구성합니다.

To configure advanced settings for your trail

  1. For Storage location, choose Advanced.

  2. In the Log file prefix field, type a prefix for your Amazon S3 bucket. The prefix is an addition to the URL for an Amazon S3 object that creates a folder-like organization in your bucket. The location where your log files will be stored is shown under the text field.

  3. For Encrypt log files, choose Yes if you want AWS KMS to encrypt your log files.

  4. For Create a new KMS key, choose Yes to create a new key or No to use an existing one.

  5. If you chose Yes, in the KMS key field, type an alias. CloudTrail encrypts your log files with the key and adds the policy for you.

    참고

    If you chose No, choose an existing KMS key. You can also type the ARN of a key from another account. For more information, see CMK를 사용하도록 추적 업데이트. The key policy must allow CloudTrail to use the key to encrypt your log files, and allow the users you specify to read log files in unencrypted form. For information about manually editing the key policy, see CloudTrail에 대한 AWS KMS 키 정책.

  6. For Enable log file validation, choose Yes to have log digests delivered to your S3 bucket. You can use the digest files to verify that your log files did not change after CloudTrail delivered them. For more information, see CloudTrail 로그 파일 무결성 검증.

  7. For Send SNS notification for every log file delivery, choose Yes if you want to be notified each time a log is delivered to your bucket. CloudTrail stores multiple events in a log file. SNS notifications are sent for every log file, not for every event.

  8. For Create a new SNS topic, choose Yes to create a new topic, or choose No to use an existing topic. If you are creating a trail that applies to all regions, SNS notifications for log file deliveries from all regions will be sent to the single SNS topic that you create.

    참고

    If you chose No, choose an existing topic. You can also enter the ARN of a topic from another region or from an account with appropriate permissions. For more information, see CloudTrail에 대한 Amazon SNS 주제 정책.

  9. If you chose Yes, in the SNS topic field, type a name.

    If you create a topic, you must subscribe to the topic to be notified of log file delivery. You can subscribe from the Amazon SNS console. Due to the frequency of notifications, we recommend that you configure the subscription to use an Amazon SQS queue to handle notifications programmatically. For more information, see the Amazon Simple Notification Service 시작 안내서.

  10. Choose Create.

다음 단계

추적을 생성한 후 추적으로 돌아가 변경할 수 있습니다.

  • 로그 파일을 CloudWatch Logs로 전송하도록 CloudTrail을 구성합니다. 자세한 내용은 CloudWatch Logs로 이벤트 전송 섹션을 참조하십시오.

  • 추적에 사용자 지정 태그(키-값 쌍)를 추가합니다.

  • 다른 추적을 생성하려면 [Trails] 페이지로 돌아가 [Add new trail]을 선택합니다.

참고

추적을 구성할 때 다른 계정에 속하는 S3 버킷 및 SNS 주제를 선택할 수 있습니다. 하지만 CloudTrail이 CloudWatch Logs 로그 그룹으로 이벤트를 전송하려면 현재 계정에 있는 로그 그룹을 선택해야 합니다.